pantalla_desbloqueo-hackeada

Los errores de software que permiten a los atacantes saltarse la pantalla de bloqueo en los teléfonos inteligentes con Android son comunes, pero siempre nos sorprenden.

Esta vez no es diferente, y lo decimos porque recientemente se ha descubierto un hack que afecta los dispositivos con Android 5.x y que permite que se pueda saltar la pantalla de bloqueo, obtener el control completo del dispositivo y de todos los datos almacenados en él.

El truco consiste en introducir una cadena muy larga en el campo de contraseña después de deslizar para abrir la cámara en un teléfono bloqueado. A menos que hayas actualizado tu teléfono en los últimos días, los dispositivos que ejecuten cualquier versión de Android entre la 5.0 y la 5.1.1 se ahogarán con el número inmanejable de caracteres y se desbloquearán, a pesar de que la contraseña sea incorrecta. A partir de ahí, el atacante puede hacer lo que quiera con el teléfono.

llamada_emergencia

El siguiente video muestra el ataque en acción. La técnica comienza mediante la adición de un gran número de caracteres a la ventana de llamadas de emergencia y luego copiarlos al portapapeles de Android. (Es de suponer que hay otras maneras además de la pantalla de número de emergencia para escribir un número lo suficientemente grande.) El hacker entonces abre la cámara del teléfono bloqueado, accede al menú de opciones y pega los caracteres en la solicitud de contraseña resultante. En lugar de devolver un mensaje de error, los teléfonos vulnerables se desbloquean.

La vulnerabilidad fue corregida en la compilación «LMY48M» de Android 5.1.1 que Google lanzó la semana pasada para el Nexus 4, 5, 6, 7, 9 y 10. Pero como saben, podrían pasar meses o años antes de que los cambios lleguen a las masas, por no mencionar que algunos dispositivos ni siquiera recibirán parches de seguridad. De hecho, la mayoría de los teléfonos Nexus 5 no recibieron la actualización OTA de la semana pasada.

Afortunadamente, la vulnerabilidad se introdujo con la versión 5.0, por lo que el número de teléfonos afectados es sólo una pequeña parte de la base global de usuarios de Android. Los usuarios vulnerables que no pueden obtener una actualización o que no quieren esperar a que esté disponible una actualización de seguridad, pueden cambiar a PIN o a patrón, ya ninguno de estos es susceptible al hack.

Dejar respuesta

Please enter your comment!
Please enter your name here